“加密系統”的巨坑

SAP夢心發表於2016-11-02

      在來公司之前,我壓根就不知道這世界上原來還有“加密系統”這種軟體產品存在,學名叫資料防洩漏,也怪我孤陋寡聞了。因為之前在廈門從來沒聽說過哪家公司有在用加密系統。當然,每家公司都有自己獨特的管理需求,也許公司這邊也確實重要資訊比較多,核心機密擔心洩露也未可知。

      公司的加密系統採用的是億賽通的產品,2014年實施,2015年上線。每臺電腦都會安裝一個加密客戶端,在電腦安裝系統的時候網管就安裝了,隨機啟動,使用者無權退出,由管理員在系統後臺操控每個賬號的策略許可權和審批流。針對加密策略的管理上,我們公司對普通員工的策略上是文件只要有新增和編輯改動就加密,哪怕只是改名,需要解密的時候就提申請給主管稽核解密。而公司高管的加密文件基本上自己就可以解密了,無需旁人。因為公司網路基礎架構沒有做好,所以每臺客戶端連線加密系統都是用的公網地址連線。使用者在家也可以用公司的電腦連線加密系統檢視文件。

      雖然有加密系統的存在,但使用者對文件的讀寫操作大部分不受習慣上的影響。雙擊開啟文件,加密客戶端就自動在後臺對文件解密並開啟,當使用者編輯完之後儲存退出,文件自動加密。任何的手段都沒辦法做到對文件的破解。一旦電腦沒安裝加密系統,則文件開啟會亂碼或者打不開。

      億賽通加密系統,公司上線了一年多,發現它有幾個大問題如下:

      一、上了就很難換

      加密系統仿若流氓軟體一樣存在,一旦在企業裡用上了,就基本上就換不了了。涉及到太多的文件需要解密,同時如果跟其他系統做整合的話,也都是一堆坑在裡面。所謂請神容易送神難,IT管理員不僅要維護保證加密系統的穩定性,同時也要保證它跟其他系統的完美相容,簡直苦不堪言。一旦出現了不穩定和相容問題,就需要廠家來協助,每年交維護費是免不了的。而內部加密系統管理員能做的僅僅只是修改策略,新增許可權等等這種常規運維而已,高深的技術根本沒法涉及到。

      二、相容性問題

      可能是公司當初跟加密廠商籤合約的時候沒談好,並沒有說明後續相容性的處理問題。導致上線沒多久相容性問題就頻發。典型的問題就是跟Win10不相容,在上面使用加密系統會頻繁導致藍屏或黑屏,根本沒法用。這個經過了非常大量的測試,包括使用者也拿到監測站去檢測過,Win10的版本也測過許多,安裝上了加密系統就立馬藍屏,解除安裝掉就不會。現在公司購買的電腦只能格掉預裝的正版Win10系統,讓網管安裝盜版的Win7或Win8才行。那這些電腦廠家沒有釋出Win7或Win8的硬體驅動怎麼辦?那就真的只能涼拌了,湊合著用!

      加密系統也沒辦法跟一些特殊的軟體做相容,比如證券軟體,會導致軟體使用異常。

      三、密碼無法初始化

      新員工進來,會分配一個初始的加密系統賬號,都固定有一個預設的密碼。但是加密系統卻沒辦法去強制要求使用者修改預設密碼,所以只要有心的人完全可以輕鬆盜取所有人的加密系統的密碼,解密賬號簡直易如反掌,導致加密系統形同虛設。

      四、公網驗證

      公司的基礎網路架構沒有搭起來,沒有購置VPN或者購買專線網路,所以所有子公司的加密客戶端都是通過公網的地址來連線加密系統的機房。這就意味著如果使用者的電腦被盜了,那裡面的加密文件簡直沒有任何安全可言。同時,如果有人知道加密系統的登入地址(很容易知道),完全可以在家安裝加密系統,順利登陸成功。而且因為是公網執行,外部人員完全可以通過技術手段來攻擊加密系統的伺服器!

      五、系統整合

      但看加密系統可能沒啥問題,但如果你要涉及到ERP系統,可能問題就“滾滾來”了。特別是在實施ERP的時候,往往要導很多的資料,上傳Excel上去就把資料灌進去,而加密系統又不能做到完美支援這一點。從ERP上導資料下來也沒辦法做到下載的文件是加密的。由此在不久的未來,系統越來越多,每個都要跟加密系統做好對接,在技術無法完全掌握的情況下,這就是一個大坑!      

      六、對IT的影響

      加密系統不僅加密Office文件,連圖片,甚至原始碼和配置檔案都給加密了。結果可想而知,程式根本沒辦法載入入資源和文字,導致開發根本進行不下去。只要圖片有改動地址等操作就立馬被加密,幾乎讓IT開發的exe程式處於廢材狀態!

      七、影響使用者的辦公效率

      既然有這麼一個東西存在,影響使用者的辦公效率是一定的了。

      1、遇到ERP和OA系統使用問題時沒辦法截圖給IT做判斷,會黑屏;

      2、網管無法遠端連線使用者的電腦去維修,因為加密系統的原因它會黑屏;

      3、使用者不能從Excel複製內容到其他軟體產品,只能對著文件一個字一個字敲內容,特別是要搜尋內容時,特別痛苦;

      4、跟其他軟體衝突導致有時候不能隨機啟動,導致文件無法開啟;

      5、無法在壓縮包裡直接拖拉文件出來解壓,會報錯;

      6、不管是什麼文件,哪怕是毫不重要的檔案都會被加密,有時候需要外發就要申請,嚴重影響效率;

      7、一些個別的軟體圖示顯示不正常,因為圖示加密的原因,軟體無法正常顯示。

 

      以上列舉了加密系統的各種問題。因為它不能正常跟Win10相容,所以現在新買的電腦都不能用自帶的正版Win10,都需要格掉換成盜版Win8.1,而廠商那邊也沒有對應的補丁包,所以我們打算給它做一次升級,需要花錢。這一點得到了已經卸任的IT領導的強烈反對。他認為加密系統是跟Win10相容的,直接無視我們做得非常大量的測試報告,也無視個別高層拿電腦到電腦售後做的檢測報告,直接說我們Win10技術不行,使用的是盜版。跟高層建議通過內部IT的技術手段(程式開發),製作加密系統的補丁包來堵住相容問題。

      

      (Win10不太穩定,會出現藍屏崩潰?你讓微軟面子往哪裡擱,你讓十幾億Win10使用者情何以堪?)

      如此來來回回非常多次,決策層一聽到要花錢,基本上就採納了已經卸任的IT領導的建議。我們公司一直在內部學習其他標杆企業的制度和行事風格,但是那家標杆企業也正好用的是億賽通的加密系統,人家就是因為Win10的相容問題而給加密系統做了一次升級,現在也都完美解決相容問題了。我不知道高層和這位卸任的“IT”領導人作何感想。這套加密系統已經來來回回折騰了好多次了,各種問題都會出現,而且根本沒辦法去通過技術手段來解決,人家根本就不會提供原始碼。折騰到最後,這加密系統還是原來的樣子。高層一如既往不用解密申請而暢通無阻,普通員工的文件有的沒的還是一直被加密狀態,問題還是一大堆。

      

      (沒有任何原始碼,沒有任何技術交接的基礎上,讓IT開發人員通過自己的能力給第三方軟體打補丁?)

      嚴謹來說,加密系統一般只對一些重要的部門使用,比如研發和財務等比較核心的部門才會做監控加密。而且對高層是不會開放的,因為高層反而會掌握更多的非常核心的資料文件,底下的普通員工就是一些很基本的辦公文件,加密這些意義何在?再說了,企業裡面難道只有文件才是需要被加密的嗎?像上了ERP之後,裡面的採購價格,客戶資訊是不是最重要的?人事系統裡的薪資和員工基本資料是不是很重要?這些資料存在資料庫裡,加密系統根本就沒辦法去管控加密得了,而且公司不使用VPN網路加密和網路專線,所有使用者的電腦和公司之間的網路通訊全部都是在網路上明文傳輸,加密系統又如何管理的了?      

      寫在結尾,我想說的是,加密系統能做的實在是非常非常有限。企業上加密系統完全就是給資訊管理部門挖坑。真的碰到有心要洩露公司機密的人,直接拿著手機對著電腦螢幕拍照,分分鐘就洩露出去了,再不濟也可以人工一個字一個字發到QQ上。功能有限,普遍挖坑是加密系統的特長。如果企業能不上加密系統就不要去碰他,那絕對跟流氓軟體沒區別。花錢不說,也起不到管理效果。

      如果真的有必要,封堵網路埠,USB封堵,做上網行為管理才是正道,而不是給自己花錢挖坑!

相關文章